Zo gijzel je een netwerk, in twaalf stappen

Cybercrime Aanvallen met gijzelsoftware (ransomware), zoals bij de Maastrichtse universiteit, zijn professioneler geworden. Hoe gaan criminelen te werk?
Bron: nrc.nl

NRC sprak met experts van NFIR,  Fox-IT, KPN Security en het Nationaal Cyber Security Centrum over ‘big game hunting’, zoals cybercriminelen hun werk noemen. Hoewel groepen van cybercriminelen elk hun eigen modus operandi en favoriete gereedschappen hebben, zijn er overeenkomsten in hun aanpak. De eerste fases van de hack gaan grotendeels geautomatiseerd, daarna wordt overgeschakeld op handwerk. Dat vergt kennis en geduld. 

Bron: NRC

Zo gijzel je een netwerk, in twaalf stappen

Cybercrime Aanvallen met gijzelsoftware, zoals bij de Maastrichtse universiteit, zijn professioneler geworden. Hoe gaan criminelen te werk?

Ransomware - Toegang verwerven tot machine
Ransomware - Uitvoeren in het geheim
Ransomware - Volhouden
Ransomware - Hogere rechten verwerven
Ransomware - Verdediging omzeilen
Ransomware - Inloggegevens stelen
Ransomware - Verkenning van het netwerk
Ransomware - Sprong naar ander systeem
Ransomware - Data verzamelen

10. Beheer op afstand

Om controle te houden over het netwerk moet de hacker op afstand commando’s versturen zonder dat dat opvalt in het netwerk. Bijvoorbeeld door veelgebruikte netwerkpoorten te kiezen, dataverkeer te versleutelen of onzindata toe te voegen. Ook de oorsprong van het netwerkverkeer kan verdoezeld worden om te voorkomen dat monitoringsystemen de command & control-server ontdekken en blokkeren. Overigens draait op lang niet alle bedrijfsnetwerken adequate monitorsoftware.

Ransomware - Beheer op afstand

11. Data verzamelen

Als hackers van plan zijn (ook) data te stelen worden de gegevens in het geheim verzameld en verpakt in kleinere bestanden door middel van compressie. Deze gegevens worden vaak in kleine delen opgeknipt en versleuteld verstuurd, om niet op te vallen in het overige netwerkverkeer.

Ransomware - Data verzamelen

12. De aanslag

Na al het verborgen werk slaan de hackers toe, liefst op een rustig tijdstip. Het encryptieproces kan al in een paar uur achter de rug zijn. In het geval van ransomware worden processen afgesloten, zodat alle bestanden versleuteld kunnen worden. In elke map blijft een leesbaar document achter met het verzoek om losgeld te betalen. Hetzelfde beheergereedschap dat gebruikt wordt om honderden werkplekken tegelijk te configureren, wordt nu ingezet om alle bestanden te versleutelen.

Slecht beheer of bezuinigingen op beheer maken het hackers te makkelijk

Arwi van der Sluijs NIFR

Ransomware - De aanslag

Wordt u geconfronteerd met onverwachte gebeurtenissen in uw IT omgeving, zoals het blokkeren van werkplekken, inbreuk op de beveiliging, geen toegang meer tot uw data, een mogelijk datalek of een cybersecurity aanval? Op uw verzoek komt NFIR direct in actie met een incident response team. 

Penetratietest laten uitvoeren?

NFIR classificeert de kwetsbaarheden van pentesten middels het Common Vulnerability Scoring System (CVSS 3.1)
Pentest

Wordt u geconfronteerd met onverwachte gebeurtenissen in uw IT omgeving, zoals het blokkeren van werkplekken, inbreuk op de beveiliging, geen toegang meer tot uw data, een mogelijk datalek of een cybersecurity aanval? Op uw verzoek komt NFIR direct in actie met een incident response team.

NFIR staat 24/7 voor haar opdrachtgevers klaar om elk beveiligingsincident in kaart te brengen en op te lossen. Ons Incident Response team doet haar uiterste best om binnen drie uur bij u op locatie te zijn. Het doel van het incident response team is de impact van het cyber incident zo snel mogelijk tot een minimum beperken, zodat de continuïteit van uw organisatie niet meer in het geding is.

Lees verder over ons incident response team om u te helpen bij een ransomware aanval.

Onze penters beschikken over een grote hoeveelheid ervaring, veel creativiteit en actuele vakkennis. De pentesters van NFIR hebben relevante opleidingen gevolgd en certificeringen als OSCP behaald. Daarnaast hebben zij allemaal korpschefgoedkeuring gekregen en geheimhouding ondertekend.
Laat de weerbaarheid van uw (web)applicatie, website, IT-infrastructuur, koppelingen (API’s) en mobiele apps controleren door een penetratietest van NFIR.

De visie van NFIR op security monitoring is dat deze dienst niet langer moet zijn voorbehouden aan de allergrootste bedrijven in Nederland met veel security kennis. De security monitoring dienst van NFIR biedt om die reden een zeer betaalbare en gemakkelijk te interpreteren oplossing voor het MKB (bedrijven met 50 tot 500 medewerkers).

NFIR biedt een 100% geautomatiseerde oplossing om uw netwerk activiteiten te monitoren. U krijgt kritische meldingen direct via email of sms binnen en u kunt daarop zelf actie ondernemen. Indien gewenst kunnen onze Security Monitoring specialisten uw organisatie ondersteunen bij het nemen van deze acties. Daarnaast kunnen wij u ook ontzorgen bij het interpreteren van de (complexere) meldingen. Als het echt verkeerd gaat, kunnen wij u op elke locatie ondersteunen met onze Incident Response teams.

Scroll naar top

Maak een afspraak met een consultant over Managed Detection and Response

popup_afspraak_mdr

"*" geeft vereiste velden aan

Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.